Inhaltsverzeichnis:


Support

Bitte kontaktieren Sie uns per SmartDesk, E-Mail servicedesk@id.ethz.ch oder telefonisch unter +41 44 632 77 77

Auf die Seite in englischer Sprache wechseln

Service Information and Update

Blog eintrag



Erstellen eines CSR (Certificate Signing Request)

Achtung!

Für den Bezug eines TLS/SSL-Zertifikats muss zuerst ein sogenanntes csr-File erstellt werden.

Anleitung für Linux bei SWITCH.

Auf Windows-Systemen kann dies wie folgt gemacht werden:

Zuerst muss ein inf-File erstellt werden. Dazu kann als Vorlage folgender Inhalt verwendet werden:


[NewRequest]

Subject = "CN=DemoServer.ethz.ch,O=ETH Zurich,C=CH"

KeyLength =  2048

KeySpec = 1

Exportable = False

ProviderName = "Microsoft Software Key Storage Provider"

HashAlgorithm = SHA256

MachineKeySet = True

SMIME = False

UseExistingKeySet = False

RequestType = PKCS10

KeyUsage = 0xA0

Silent = True

[Extensions]

2.5.29.17 = "{text}"

_continue_ = "dns=Demo.ethz.ch&"

_continue_ = "dns=AuchDemo.ethz.ch&"

Servernamen anpassen

Bitte ersetzen Sie die Servernamen im obigen Beispiel mit Ihren eigenen Angaben.

Zielserver

Wird das csr-file nicht auf dem System erstellt, wo später das Zertifikat eingesetzt werden soll, muss der Parameter "Exportable" auf "True" gesetzt werden, da es notwendig wird, das Zertifikat zuerst auf dem Windows-System installieren, auf dem das csr-file und damit der private Schlüssel erzeugt wurde.


Mit "certreq -new Demo.inf Demo.csr" das csr-file erzeugt.



Bezug TLS/SSL-Zertifikat


  • Auf "Request Certificate" drücken.

Es stehen drei Profile zur Auswahl. Die Namen sind durch die Supportgruppe ergänzt.

  • ETH WebServer:
    intern vertraut gegenüber der ETH Root Zertifizierungsstelle. ETH Root Zertifikat und ETH Issuing Zertifikat müssen auf den beteiligten Systemen installiert sein (Download PKI Zertifikatsmanagement). Keine Einschränkung der Anzahl der Adressen. Kann für ein, zwei oder drei Jahre ausgestellt werden. Browser akzeptieren nur Zertifikate mit Gültigkeit ein Jahr, aber für Web-Service zwischen zwei Servern können längere Gültigkeiten verwendet werden.

  • DC WebServer:
    Öffentlich vertraut gegenüber der DigiCert Root Zertifizierungsstelle. Gültigkeit ein Jahr. Anzahl der Adressen unbegrenzt. Bei der Abrechnung wird pro sechs Adressen ein Zertifikat berechnet.


Über "Choose File" den CSR hochladen.


  • Beim ETH WebServer die Gültigkeit auswählen.

  • Bei "Recipient Email" eine gültige Mail-Adresse einfügen.

  • "Request" Button drücken.

  • Nach einigen Sekunden steht das Zertifikat zum Download bereit.


  • Bei "Show Delivery Formats ..." kann das Format ausgewählt werden und ob das Root- und Intermediate-Zertifikat mit enthalten sein soll

  • Sollte das Zertifikat später nochmals benötigt werden, kann es jederzeit wieder heruntergeladen werden.


Installation TLS/SSL-Zertifikat

  • File öffnen.

  • Zertifikat installieren drücken.

  • Lokale Maschine. Next.

  • Eventuell werden Benutzer und Passwort eines Administrators abgefragt.

  • Next.

  • Finish.

Wird das Zertifikat auf einem anderen Server eingesetzt, dann muss das Zertifikat inklusive des privaten Schlüssels exportiert werden.

Mit certlm.msc als Administrator die Zertifikatsverwaltung aufrufen.

Das Serverzertifikat mit privatem Schlüssel exportieren.

Erneuern TLS/SSL-Zertifikat

  • Bei Ablauf eines TLS/SSL-Zertifikats wird an die beim Zertifikat hinterlegte Mailadresse 60, 30, 10 und 5 Tage vor Ablauf ein Mail gesendet mit der Aufforderung das Zertifikat zu erneuern.

  • Am besten die Seriennummer aus dem Mail kopieren und damit im PKI-Frontend das Zertifikat suchen


  • Ganz unten auf der Seite ist der "Renew" Button


Achtung!

Aufgrund der Migration von QuoVadis zu DigiCert ist es nicht mehr möglich, ein Zertifikat von QuoVadis zu beantragen oder zu erneuern. Der Renew-Button ist ausgegraut.

Stattdessen müssen Sie ein neues Zertifikat bei DigiCert bestellen. (Profil beginnt mit DC WebServer)

Um die Benachrichtigungen über das Ablaufen des Zertifikats abzubrechen, können Sie das alte Zertifikat revozieren, nachdem Sie das neue Zertifikat installiert haben

  • Mit "Request Certificate ..." ein neues Zertifikat bestellen


Ein sogenanntes Softtoken zu bestellen ist über unsere PKI nicht möglich, der Button lässt sich jedoch nicht ausblenden. Drückt man auf diesen Button so erhält man eine Fehlermeldung, dass man nicht berechtigt ist.


  • Ab hier ist das Vorgehen identisch zu einer Neubestellung. Profil auswählen, csr hochladen und dann Renew (anstatt Request).

  • Für das weitere Vorgehen siehe "Bezug TLS/SSL-Zertifikat" und "Installation TLS/SSL-Zertifikat"


Achtung!

Der Unterschied zwischen einem Zertifikat erneuern und gleich ein neues Zertifikat zu beziehen liegt darin, dass beim Erneuern in der Datenbank für das ablaufende Zertifikat im Status "Replaced" eingetragen wird und dass ab diesem Zeitpunkt keine Erinnerungsmails bezüglich des ablaufenden Zertifikats mehr versendet werden.







  • No labels